Напишите нам
Мы уточним наличие интересующего вас продукта у этого вендора
Нажимая на кнопку отправить, вы соглашаетесь на обработку персональных данных в соответствии с договором.
Напишите нам
Мы уточним срок действия сертификата интересующего вас продукта
Нажимая на кнопку отправить, вы соглашаетесь на обработку персональных данных в соответствии с договором.
Click to order
Корзина
Total: 
Контактные данные
Нажимая на кнопку заказать, вы соглашаетесь на обработку персональных данных в соответствии с договором.
Поддержка
Если у вас возникли вопросы при пользовании сертифицированными продуктами напишите нам
Нажимая на кнопку отправить, вы соглашаетесь на обработку персональных данных в соответствии с договором.
Напишите нам
Хотите задать вопрос?
Мы Вам рады!
Нажимая на кнопку отправить, вы соглашаетесь на обработку персональных данных в соответствии с договором.
Сертифицировать ПО
Мы свяжемся с вами, чтобы обсудить процесс сертификации
Нажимая на кнопку отправить, вы соглашаетесь на обработку персональных данных в соответствии с договором.
Консультация
Опишите ваш вопрос, мы перезвоним и ответим на него.
Вы также можете задать вопрос по телефону
+7 (495) 229-56-07
Нажимая на кнопку отправить, вы соглашаетесь на обработку персональных данных в соответствии с договором.
Стать партнером
Мы свяжемся с вами, чтобы уточнить детали совместной работы
Нажимая на кнопку отправить, вы соглашаетесь на обработку персональных данных в соответствии с договором.
Для улучшения работы сайта мы собираем данные cookie. Продолжая пользоваться сайтом, вы даете согласие на обработку данных в соответствии с договором.
Согласен.

Разбираемся в сертификации ПО

Время на чтение: ~8 минут
Вокруг сертификации ПО сложилась отдельная индустрия, экосистема, где новичку бывает сложно разобраться, да и среди старожилов укореняются мифы. Поэтому многим не помешает короткий обзор. Разберемся в том, что это такое, нужна ли сертификация, что именно сертифицируется и что подтверждает сертификат, кто должен сертифицировать ПО и кто есть кто в процессе сертификации.

Что это такое

Сертификация в широком смысле – это подтверждение определенных характеристик персоны, объекта или организации третьей стороной с выдачей сертификата (свидетельства). Такой подход используется очень часто (например, можно вспомнить систему менеджмента информационной безопасности ИСО 27001 или сертификацию специалистов по защите информации CISSP – Certified Information Systems Security Professional). Но в узком смысле под сертифицированным ПО, как правило, подразумевают то, что прошло сертификацию по требованиям безопасности информации. Это и есть сертификация ФСТЭК, или сертификация в системе ФСТЭК: она самая востребованная.

Сертификация по требованиям безопасности информации относится к сертификации средств защиты информации. Интересно, что в России систем сертификации средств защиты информации несколько – кроме ФСТЭК, есть и другие. Это системы ФСБ и Минобороны. Законодательные основы их работы заложены в постановлении Правительства Российской Федерации от 26 июня 1995 г. N 608 «О сертификации средств защиты информации».

Система сертификации ФСТЭК

Сертификация — это одна из форм подтверждения соответствия, которые определены в Федеральном Законе от 27 декабря 2002 г. N 184-ФЗ «О техническом регулировании». Надо отметить, что область действия этого закона очень широкая, он распространяется на многие сферы экономики, и можно сказать, что принят он без особой оглядки на специфику защиты информации. Поэтому в законе отдельной статьей сделана оговорка, что для конкретных категорий продукции (в том числе предназначенной для защиты информации) требования уполномоченных госорганов (в нашем случае федеральных органов исполнительной власти, уполномоченных в области противодействия техническим разведкам и технической защиты информации, то есть ФСТЭК России) являются обязательными наряду с требованиями технических регламентов. А особенности технического регулирования рядом организаций (в том числе ФСТЭК) определяются Президентом и Правительством отдельно. И в том же постановлении N 608 написано, что сертификация средств защиты проводится на соответствие требованиям государственных стандартов и нормативных документов федерального органа (в нашем случае ФСТЭК).

Обязательная и добровольная сертификация

В законе определены обязательное и добровольное подтверждение соответствия. К первому из них относится обязательная сертификация (еще одна форма – это декларирование соответствия), ко второму – так называемая добровольная сертификация. Главная разница между ними: обязательная сертификация выполняется только на соответствие требованиям технических регламентов, а добровольная – документов других типов (национальных и фирменных стандартов, систем добровольной сертификации, договоров). Системы обязательной сертификации всегда находятся в ведении государственных органов.
Согласно 184-ФЗ, если для продукции требуется обязательное подтверждение соответствия, она вообще не может быть выпущена в обращение без такого подтверждения. Но хотя система сертификации ФСТЭК России считается обязательной (именно с таким определением она упоминается в многочисленных нормативах), такого требования в отношении средств защиты информации нет.

Обзор процесса и роли

Весь процесс сертификации по требованиям безопасности информации подробно описан в «Положении о системе сертификации средств защиты информации» – приказе ФСТЭК России от 3 апреля 2018 г. N 55. Это положение заменило собой аналогичное, принятое еще в 1995 году.

Как происходит сертификация программного обеспечения ФСТЭК? Всего в процессе есть 4 роли: федеральный орган по сертификации, аккредитованные органы по сертификации, испытательные лаборатории и изготовители средств защиты. Интересно, что такая структура не вполне совпадает с той, что задана в законе о техническом регулировании, но соответствует прописанной в постановлении правительства о сертификации средств защиты.

Так как Правительство назначило ФСТЭК федеральным органом по сертификации, то он создает систему сертификации, устанавливает требования по безопасности информации, ведет реестры аккредитованных органов, испытательных лабораторий и сертифицированных средств защиты. За саму сертификацию отдельных средств защиты отвечают органы по сертификации – они оформляют сертификаты и передают их ФСТЭК для внесения в реестр. Испытательные лаборатории проводят так называемые сертификационные испытания, то есть проверяют средства защиты на соответствие требованиям по безопасности информации и предоставляют результаты этой проверки в виде заключений и протоколов в орган по сертификации. Наконец, изготовители занимаются разработкой и/или производством (тиражированием) средств защиты.

В процессе задействовано много участников, у каждого свои правила и цели, помимо желания коммерческих организаций извлечь прибыль. Почему всё устроено так сложно? Дело в том, что процесс проверки на соответствие требованиям довольно трудоемкий и требует от исполнителей высокой технической квалификации. Государство не может взять на себя эти работы с соответствующими им затратами, поэтому процесс поставлен на коммерческую основу. Нужно соблюсти требования государства к безопасности информации и при этом обеспечить хороший выбор средств защиты, доступные цены на них. И такая четырехуровневая модель как раз и должна обеспечить масштабируемость, конкуренцию и контроль. Да, сертифицированные средства всё равно получаются дороже своих обычных аналогов, а их выбор ограничен, но это неизбежно при трудоемком процессе сертификации продукции и ограниченной сфере применения.

Что сертифицируется

Как мы помним из Постановления N 608, сертифицируются средства защиты информации. В положении о сертификации N 55, выпущенном ФСТЭК, уточняется, что сертифицируются, среди прочего, средства обеспечения информации информационных технологий. Хотя точного определения этому термину в отечественных нормативах нет, всем понятно, что речь идет о «компьютерных» средствах защиты в узком (специализированные средства защиты) и широком (системное и программное обеспечение со встроенными функциями защиты) смысле. Еще в нормативах есть понятие объекта оценки – он позволяет уточнить, что именно сертифицируется.

Что подтверждает сертификат

Успешное прохождение процесса заканчивается выпуском сертификата – бумажного документа в единственном экземпляре и записи в реестре средств защиты информации. Сертификат подтверждает только соответствие объекта (в нашем случае программного продукта) определенным требованиям по безопасности информации. Вопреки заблуждению, он не гарантирует ни отсутствие уязвимостей в продукте, ни достаточность его внедрения для нейтрализации угроз безопасности данных (в том числе и тех, против которых он и разработан).

Ответственность

Все участники процесса сертификации в системе ФСТЭК несут ответственность за свои действия. У регулятора есть действенные рычаги для наказания нарушителей. Как сами организации, так и их руководители за нарушения требований положения о сертификации могут быть оштрафованы. Но самое серьезное не это. Все участники процесса сертификации получают лицензию или аккредитацию от ФСТЭК, и за эти нарушения аккредитация и лицензия могут быть отозваны. Тем самым поддерживается баланс между коммерческими интересами участников процесса и интересами государства.

Должностные лица регулятора тоже несут ответственность за нарушение регламентов. Во-первых, дисциплинарную, то есть замечание, выговор, предупреждение о неполном должностном соответствии, и, наконец, увольнение. Во-вторых, их работодатель может заставить их компенсировать ущерб. В-третьих, административную – штрафы и прочее.
А несет ли ответственность ФСТЭК как организация? Да, по Гражданскому кодексу, если государственный орган причинил своим действием или бездействием вред физическому или юридическому лицу, то этот вред может быть возмещен по решению суда. Правда, за много лет в суд на ФСТЭК в связи с сертификацией не подавали.

Выводы

1
Программное обеспечение подлежит сертификации соответствия в системе ФСТЭК в качестве средства защиты информации.
2
Сертификация ФСТЭК России считается обязательной, но проводится на соответствие не техническим регламентам, а требованиям нормативных документов ФСТЭК.
3
Сертификат ФСТЭК подтверждает соответствие программного обеспечения требованиям по безопасности информации. Это то, для чего нужна сертификация.
4
Система сертификации включает в себя федеральный орган по сертификации (ФСТЭК), аккредитованные им органы и испытательные лаборатории, а также изготовителей сертифицированных средств защиты.
5
За нарушение требований системы сертификации несут ответственность все ее участники.